今天接到老板的命令,要在上班时禁掉bbs连接(公司有很多清华毕业的同事,经常上水木清华)。查了一下水木的bbs允许telnet连接和ssh1连接。然后查了我的防火墙脚本,我已经在上班时间禁掉了telnet和ssh连接,可是他们为什么还能上bbs呢?让老板看到了,然后又提出了这样的要求。问了一下同事了解到如下情况:已经连接的bbs窗口没有关掉的话,还能继续连接。如果关掉再打开就不能连接了。原来如此啊。。让老板如此生气,又提出这个要求。
然后查了查资料,了解到了iptables的状态检测机制。更改了防火墙脚本,直接把状态检测也加上,然后测试成功!
附我的禁止bbs的脚本如下:
/sbin/iptables -I FORWARD -i eth1 -p tcp --dport 23 -m state --state NEW,ESTABLISHED -j DROP
/sbin/iptables -I FORWARD -i eth1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j DROP
这样不仅新的连接不能连接,已经连接的也被DROP了,就断开连接了。顺利完成老板交给的任务。
阅读(2779) | 评论(0) | 转发(0) |
